技術情報・コラム記事
セキュリティセキュリティ

2024年7月 セキュリティ情報 OpenSSH のリモートコード実行脆弱性 [CVE-2024-6387]など

目次

ご挨拶

インフラ業務と並行しつつ「セキュリティの町医者」を目指し日々精進している三浦です。

2024年7月に収集した脆弱性/インシデント情報から注目いたしました各種情報を掲載いたします。
セキュリティ対策や推進に少しでもご活用いただければ幸いです。

注目した脆弱性(OpenSSH のリモートコード実行脆弱性 [CVE-2024-6387])

情報公開日:2024/7/1(現地時間)

一次情報元(引用元) "Qualys"regreSSHion: RCE in OpenSSH's server, on glibc-based Linux systems (CVE-2024-6387)
"Qualys"regreSSHion: Remote Unauthenticated Code Execution Vulnerability in OpenSSH server
"OpenBSD project"OpenSSH Release Notes - OpenSSH 9.8/9.8p1 (2024-07-01)
その他、情報ソース "Cybersecurity Help s.r.o." Multiple vulnerabilities in OpenSSH
"JVN" JVNVU#97253999 OpenSSHにおける複数の脆弱性
"JVN iPedia" JVNDB-2024-004050 OpenBSD の OpenSSH 等複数ベンダの製品における競合状態に関する脆弱性
CVE番号及び深刻度 CVE番号:CVE-2024-6387
深刻度:Critical
脆弱性内容 OpenSSHの開発チームは深刻な脆弱性 CVE-2024-6387(別名:regreSSHion) が確認されたとしてセキュリティ情報及び脆弱性を修正したバージョンを公開。当該脆弱性は未認証状態でも悪用可能。リモートから攻撃が行え、攻撃が成立するとroot権限による任意コード実行が行われる恐れがあります。
想定される影響 悪意のあるコードが実行され、当該製品の乗っ取り、DoS、情報漏えいなど不特定多数の影響を受ける可能性があります。
影響を受ける製品 ・OpenSSH 4.4p1より前のバージョン ・OpenSSH 8.5p1から9.8p1より前のバージョン
解決策 ・当該脆弱性に対応したバージョンへのUpdate
 ⇒詳細については「一次情報元(引用元)」でご確認ください。
・また、発見者はUpdateが行えない場合は、ワークアラウンド「LoginGraceTimeの設定値を0にする」ことを推奨しております。
コメント 本脆弱性に対する実証攻撃時、長時間にわたる連続接続が必要であったとのこと。そのため、ログファイルを監視しておくことで攻撃を受けている可能性を把握することが可能となっております。なお、PoC(動作未確認)が公開されている、当該脆弱性調査過程において新たな脆弱性「CVE-2024-6409」を発見したという情報もあります。
攻撃開始後すぐに成立するような脆弱性では無いと推察しますが、sshのポートはインターネット上で公開していることが多いため、早急に対策もしくは対応計画を検討することを推奨いたします。

その他、注目した脆弱性/ソフトウェアUpdate情報

日付 ソフトウエア 情報/コメント
2024/7/1 Splunk 社複数製品 Splunk 社は、Splunk Enterpriseを含む複数製品に関するセキュリティアドバイザリを公開。深刻度「High」の脆弱性を含む10件以上のセキュリティ修正が行われている。

"Security Advisories"
https://advisory.splunk.com/advisories
2024/7/1 Apache HTTP Server The Apache Software Foundationは、Apache HTTP Serverのセキュリティリリース「2.4.60」を公開。8件の脆弱性が修正されている。

"Apache HTTP Server 2.4 vulnerabilities"
https://httpd.apache.org/security/vulnerabilities_24.html
2024/7/3 Apache HTTP Server The Apache Software Foundationは、Apache HTTP Serverのセキュリティリリース「2.4.61」を公開。1件の脆弱性が修正されている。

"Apache HTTP Server 2.4 vulnerabilities"
https://httpd.apache.org/security/vulnerabilities_24.html
2024/7/5 PHP 情報処理推進機構(IPA)は、PHPの脆弱性「CVE-2024-4577」が国内の複数組織において悪用されたことを公表した。

"PHPの脆弱性(CVE-2024-4577)を狙う攻撃について"
https://www.ipa.go.jp/security/security-alert/2024/alert_20240705.html
2024/7/8 Node.js The Node.js Project は、18.x、20.x、22.x に対するセキュリティリリースを公開。5件の脆弱性が修正されている。

"Monday, July 8, 2024 Security Releases"
https://nodejs.org/en/blog/vulnerability/july-2024-security-releases
2024/7/9 Microsoft 社複数製品 Microsoft社は、複数のソフトウェアに対する月例セキュリティ更新プログラムを公開。悪用が確認された脆弱性が2件、第三者から情報公開された脆弱性2件も修正されている。

"2024 年 7 月のセキュリティ更新プログラム"
https://msrc.microsoft.com/update-guide/releaseNote/2024-Jul
"2024 年 7 月のセキュリティ更新プログラム (月例)"
https://msrc.microsoft.com/blog/2024/07/202407-security-update/
悪用が確認された脆弱性
"Windows Hyper-V Elevation of Privilege Vulnerability"
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-38080
"Windows MSHTML Platform Spoofing Vulnerability"
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-38112
第三者から情報公開された脆弱性
"Arm: CVE-2024-37985 Systematic Identification and Characterization of Proprietary Prefetchers"
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-37985
".NET and Visual Studio Remote Code Execution Vulnerability"
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-35264
2024/7/9 Mozilla Firefox /Firefox ESR Mozilla 社は、ブラウザFirefox /Firefox ESR のセキュリティアップデートを公開。影響度はFirefox は「high 」、Firefox ESR は「moderate 」に設定されている。また、悪用が行えた可能性がある脆弱性についても今回のアップデートで修正されている。

"Mozilla Foundation Security Advisory 2024-29 Security Vulnerabilities fixed in Firefox 128"
https://www.mozilla.org/en-US/security/advisories/mfsa2024-29/
"Mozilla Foundation Security Advisory 2024-30 Security Vulnerabilities fixed in Firefox ESR 115.13"
https://www.mozilla.org/en-US/security/advisories/mfsa2024-30/
2024/7/16 Oracle 社複数製品 Oracle 社は同社複数製品(MySQL /Java /Oracle WebLogic Server、その他製品など)のOracle Critical Patch Update Advisory を公開。各製品の複数脆弱性が修正されている。

"Oracle Critical Patch Update Advisory - July 2024"
https://www.oracle.com/security-alerts/cpujul2024.html
2024/7/17 シスコシステムズ合同会社複数製品 シスコシステムズ合同会社は同社の複数製品のセキュリティアドバイザりを公開。各製品の脆弱性が修正されている。

"Cisco Security Advisories"
https://sec.cloudapps.cisco.com/security/center/publicationListing.x
2024/7/17 Apache HTTP Server The Apache Software Foundationは、Apache HTTP Serverのセキュリティリリース「2.4.62」を公開。2件の脆弱性が修正されている。

"Apache HTTP Server 2.4 vulnerabilities"
https://httpd.apache.org/security/vulnerabilities_24.html
2024/7/23 ISC BIND nternet Systems Consortium(以降、ISCと略称)はDNS サーバで広く利用されているISC BIND のセキュリティアドバイザリを公開。緊急性の高い複数の脆弱性が修正されている。

"CVE-2024-1975: SIG(0) can be used to exhaust CPU resources"
https://kb.isc.org/docs/cve-2024-1975#
"CVE-2024-1737: BIND's database will be slow if a very large number of RRs exist at the same name"
https://kb.isc.org/docs/cve-2024-1737#
"CVE-2024-4076: Assertion failure when serving both stale cache data and authoritative zone content"
https://kb.isc.org/docs/cve-2024-4076#
"CVE-2024-0760: A flood of DNS messages over TCP may make the server unstable"
https://kb.isc.org/docs/cve-2024-0760#

注目したインシデント

2024年6月下旬のインシデント情報も含まれております。

公表日 発生組織/業種 インシデント内容 情報/コメント
2024/6/27(第二報) 製造業 ランサムウェア攻撃による個人情報漏えいの可能性 原因はシステム管理者アカウントのID・パスワードが何らかの形で不正に取得/利用されたことにあるとコメント。
2024/6/28 エンターテイメント企業 サイバー攻撃による個人情報漏えい 6月にサイバー攻撃を受けた企業が保有していた個人情報がダークウェブに公開された。
2024/7/2 通販 不正アクセスによる個人情報/クレジットカード情報漏えいの可能性 原因はシステムの脆弱性を突く不正アクセスを受け、決済アプリケーションの改ざん被害などが発生したとコメントしている。
2024/7/3 社団法人 フォーム誤設定による個人情報漏えい 特定の条件下において、第三者が他⼈の回答情報を閲覧できる状態が約一ヶ月間発生していたとのこと。
2024/7/4(報道) 官公庁 不正アクセスによるサイト改ざん セキュリティ関連サイトが改ざんされ、別のサイトに接続される状態になっているとのこと。当該部署は「大失態であり重く受け止めている。」とコメント。
2024/7/4 官公庁 メール誤送信によるメールアドレス情報の漏えい 送信時にダブルチェックを行うということ等を再発防止策として挙げている。
2024/7/5 開発法人 昨年発生した不正アクセスによる情報漏えいに関する報告 VPN脆弱性が悪用され侵入を許し、侵入したサーバからさらに侵害を広げアカウント情報などを窃取。その情報を使い正規ユーザを装いMicrosoft 365に不正にアクセスしたとのこと。
2024/7/8 出版社 設定不備による別人のアカウントへのログイン 同サイトのID識別システムに設計不備があり、一部アカウントで本来の利用者とは別の第三者によってログインされる状況が発生したという。
2024/7/9 電機メーカー 複数端末のマルウェア感染による情報漏えいの恐れ 複数の偽装手法などを用いて検知を回避しており、発見が難しい攻撃だったと説明している。
2024/7/17 インフラ 子会社への不正アクセスによる数百万人 複数の偽装手法などを用いて検知を回避しており、発見が難しい攻撃だったと説明している。
2024/7/17 建設業 マルウェア感染 仮想通過採掘系のマルウェアに感染。急激なCPU負荷増大にて発覚した。
2024/7/25(第三報) 製造業 ランサムウェア攻撃による個人情報漏えいの可能性 リークサイトにて、関連データのリンクが一時掲載されていたことを確認したとのこと。
TOP技術情報・コラム記事2024年7月 セキュリティ情報 OpenSSH のリモートコード実行脆弱性 [CVE-2024-6387]など